it-swarm.com.de

Verwenden des CA-Zertifikats für die Remotedesktopverbindung

Ich stelle über das Internet eine Verbindung zu einem Windows Server 2012 R2-Remotestandort über eine Remotedesktopverbindung für Verwaltungsanforderungen her. Es ist ein einzelner Web- und Datenbankserver ohne AD usw.

Ich spreche nicht von Remotedesktopdiensten/Terminalserver, sondern nur von der einfachen Remotedesktopfunktion, die über Systemsteuerung> System> Remoteeinstellungen aktiviert wird. Der Server erstellt automatisch ein selbstsigniertes Zertifikat, um die Verbindung zu verschlüsseln, und der Remotedesktopverbindungsclient zeigt einen Zertifikatfehler aufgrund der nicht vertrauenswürdigen Zertifizierungsstelle an.

Ich habe ein CA-signiertes Zertifikat für den FQDN dieses Servers ausgestellt, das für die Serverauthentifizierung gültig ist (ich verwende es für den MSSQL Server-Remotezugriff).

Ich möchte diese auch für RDP-Verbindungen verwenden. Alle Tutorials (wie diese Frage ), die ich bisher gefunden habe, beschreiben den Prozess für die Remotedesktopdienste oder den Terminaldienst. Ich habe diese Frage gefunden, der einen wmic Befehl zum Festlegen eines Zertifikats angibt, aber ich möchte nicht versuchen, einige Werte festzulegen, wenn ich nicht genau weiß, was ich tue. Ich habe es zu den Remotedesktop-Zertifikaten des lokalen Computers hinzugefügt, auf denen sich auch das automatisch generierte selbstsignierte Zertifikat befindet.

Ist das möglich? Wenn ja, was muss ich tun?

Vielen Dank!

22
marce

Die Frage, die Sie gestellt haben, dass Erwähnungen, bei denen wmic zum Festlegen des Zertifikat-Fingerabdruckwerts verwendet wird, ohne zusätzliche Funktionsinstallation funktionieren sollten. Ich fragte und beantwortete eine ähnliche Frage hier mit etwas mehr Details. Es hat auch ein PowerShell-Äquivalent für den Befehl wmic. Aber ich werde auch hier noch einige Erklärungen hinzufügen.

Da Sie dieses Zertifikat bereits für MSSQL SSL verwenden, gehe ich davon aus, dass es bereits in einem der Zertifikatspeicher auf dem System installiert ist. Wenn Sie es im Kontext eines Dienstkontos installiert haben, unter dem MSSQL ausgeführt wird, müssen Sie es möglicherweise auch im Personal- oder Remotedesktopspeicher für den "lokalen Computer" installieren.
enter image description here

Sobald es dort drin ist, müssen Sie nur noch die SSLCertificateSHA1Hash Wert in Win32_TSGeneralSetting, um mit einem der Befehle in my vorherige Frage darauf hinzuweisen.

Wenn Sie überprüfen möchten, auf welchen Wert der Wert derzeit eingestellt ist, und ihn mit dem selbstsignierten Zertifikat vergleichen möchten, können Sie den Befehl wmic wie folgt ändern. Sie können dies auch verwenden, um zu überprüfen, ob der neue Fingerabdruckwert, den Sie festgelegt haben, korrekt ist.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Die Ausgabe sollte ungefähr so ​​aussehen:
enter image description here

26
Ryan Bolger

Die Handbücher zu Remotedesktopdiensten/Terminaldiensten gelten auch für Server, auf denen nur der Standard-RDP-Dienst ausgeführt wird - es handelt sich lediglich um eine eingeschränktere Instanz desselben Dienstes.

In diesen Handbüchern fehlen möglicherweise die Tools zum Verwalten des Dienstes. Sie sollten die Rollenverwaltungstools für Remotedesktopdienste installieren, um den Dienst verwalten zu können.

Install-WindowsFeature -Name RSAT-RDS-Tools
2
Shane Madden